RootForum Community

hi,
hab hier mal nen paar interessante einträge in /var/log/auth.log:

sshd[21981]: Address 216.67.248.122 maps to dns5.serverstoday.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
sshd[21975]: Illegal user guest from 216.67.248.122

Und noch einige mehr in der Richtung.
dann noch

sshd[19309]: Illegal user andrea from 200.173.156.146

Das untere is nen Bot, so viel ist klar, aber das obere ? Irgendwas mit DNS - hab aber auch in google net rausfinden können, was genau...

Sollte ich mir da Gedanken machen, oder geht das euch allen genau so, dass sowas immer in den Logs auftaucht ??

Danke

216.67.248.122:

Der PTR (Reverse DNA) Eintrag passt nicht zur IP. Kann Verschleierung oder vermutlich einfach nur Schlampigkeit sein. Frag doch einfach beim IP-Inhaber nach.

Pegasus Web Technologies
abuse@PWEBTECH.COM


200.173.156.146:

da zeigt "ATENTA.NET" drauf

Administrative Contact:
Tour House Viagens Ltda.
Igor Tobias ()
infohelp@tourhouse.com.br
3156-7777
Fax: none
Rua: Martins Fontes, 91 - conj 22
Sao Paulo, 01050905
BR

Danke!

Ab wann is sowas eigentlich strafbar ? Doch eigentlich erst, wenn man im System drinnen is, oder ?

Johnson wrote:Ab wann is sowas eigentlich strafbar ?

Das ist von den Gesetzen der jeweiligen Staaten (Serverstandort/Angriffsursprung) abhängig.

Johnson wrote:Doch eigentlich erst, wenn man im System drinnen is, oder ?

Nach deutschem Recht, ja.

Hallo,

Also in Ã?sterreich sind die Gesetze meist recht ähnlich (Komme aus Ã?). Hab deswegen mal mit einem Anwalt gesprochen, also wenn es sich eindeutig um ein versuchtes Eindringen in das System handelt. Also die Absicht des Angreifers eindeutig erkennbar ist, dann ist es bereits strafbar.

Das Problem bei der Sache: Ab wann kann man von einer eindeutigen Absicht ausgehen? z.B. hat der inhaber des jeweiligen Servers, von dem ein Angriff ausgegangen ist, unter Umständen nicht absichtlich einen Angriff gestartet. Es handelt sich hierbei ja meist um bereits gehackte Server die missbraucht werden.
Das Problem ist also, den hier wirklich Schuldigen ausfindig zu machen. Natürlich ist der Serverinhaber auch schuld, aber man müsste ihm dann nachweisen, dass er nicht mit allen ihm zumutbaren Mitteln einen derartigen Zwischenfall verhindert hat und dass dieser Fall bei Anwendung entspr. Sicherheitsvorkehrungen nicht eingetreten wäre...

Kurz: Solang der Angriff nicht erfolgreich war, ist es zwar trotzdem nicht legal, aber schwierig entspr. Beweise bekommen.

MfG

Christian

PS: Es kann sein, dass es in Deutschland anders ist!